業(yè)務平臺云化遷移安全風險量化測評方法的研究

肖 慧，譚 彥，畢喜軍，譚志遠

（1.中國電信股份有限公司廣東分公司 廣州510081；2.中國電信股份有限公司廣東研究院 廣州510630）

1 引言

業(yè)務平臺在遷移到云平臺之后，由于虛擬化層的引入，產生了額外的安全風險，管理者在決策過程中都對云平臺的風險管理感到疑惑：虛擬化層所產生的安全風險是否能夠接受，業(yè)務平臺云化遷移的過程中是否存在一個量化指標足以反映這個過程中所產生的風險情況？

這一系列的問題源于業(yè)務平臺遷移到云平臺之前，在所處的環(huán)境下已部署的多種安全控制措施，由于遷移到云平臺之后，安全防護條件均發(fā)生了變化，一些傳統(tǒng)的安全防御手段無法過渡到虛擬化的環(huán)境下繼續(xù)使用，因此，管理者可能會采用新的基于虛擬化的安全防護手段，而原有的風險評價標準體系需要重新計算甚至無法適用。評估云平臺的安全風險時，需要綜合多方面的因素，將各種風險因素通過一套面向云平臺的全面測評體系進行量化。量化的安全風險系數的意義在于能夠衡量安全工作產生的真實價值與績效，使安全防護有了清晰的目標。但安全風險管理是個動態(tài)的過程，在進行風險測評的過程中，一方面需要考慮管理方面的因素，如安全制度的執(zhí)行情況；另一方面需要考慮技術方面的因素，如是否有認可的風險測評工具，以確保相關的風險系數能夠順利落地。

2 業(yè)務平臺云化后的風險管理策略

業(yè)務平臺遷移到云平臺之后，業(yè)務平臺成為云平臺的租戶，這時，業(yè)務平臺的管理者需要同時考慮業(yè)務平臺和云平臺的風險。這是因為從攻擊者或黑客的角度，只需要找出業(yè)務平臺或云平臺的一個漏洞就可以完成入侵，但從業(yè)務平臺安全管理員的角度，還需要持續(xù)關注業(yè)務平臺自身的脆弱性，盡可能修復云平臺的所有漏洞及問題。在實際情況下，要解決所有的問題是不可能的，所以在運營過程中，關鍵是做到有的放矢，將有限的資源投入在迫切需要的地方，所以需要一個能夠評估系統(tǒng)目前的安全狀態(tài)、衡量現狀與安全策略制度目標之間的差距、定義當前安全威脅級別的綜合系數，該系數可反映業(yè)務平臺當前安全管理和安全防護的水平，幫助安全管理員找出最需要關注的問題。系數的計算精簡了安全水平的判斷依據，使對系統(tǒng)安全水平的評估更為科學有效，同時也能持續(xù)跟蹤安全策略落地執(zhí)行的效果。

2.1 業(yè)務平臺云化后面臨新的威脅

虛擬化技術引入了Hypervisor層和其他新的管理模塊，在帶來許多新功能的同時，由于其脆弱性也必然成為新的攻擊層面，而另外一方面則可能是管理操作上的疏忽，例如，在虛擬化應用中，大多數提供安全保護的進程和功能在初始安裝時都未被選擇加入，而這些進程和功能在安裝之后考慮到系統(tǒng)穩(wěn)定性問題很難被重新安裝，那么，如何代替它們的功能是需要解決的問題。而由于以上的原因，虛擬化產生了如下一些新威脅。

（1）虛擬機逃逸

由于配置失當，虛擬系統(tǒng)間以及虛擬系統(tǒng)和Hypervisor隔離措施不足，產生安全問題，該安全問題可以使虛擬系統(tǒng)脫離原來分配給它的虛擬環(huán)境，而逃逸到Hypervisor，繼而控制Hypervisor甚至其他虛擬系統(tǒng)。

（2）流量監(jiān)控失效

虛擬機間通過硬件的背板而不是網絡進行通信，因此，這些通信流量對標準的網絡安全控制來說是不可見的，無法對它們進行監(jiān)測、在線封堵，這些安全控制功能在虛擬化環(huán)境中都需要采用新的形式。

（3）虛擬機惡性遷移

虛擬機的動態(tài)遷移用于快速解決眾多客戶的虛擬機租用需求問題，但可能導致虛擬機系統(tǒng)脆弱性的快速傳播，同一個供應商提供的虛擬機幾乎源于相同的鏡像。顯然，動態(tài)遷移過程使得原鏡像中的安全漏洞也在不斷地復制和傳播。攻擊者在充分收集已控虛擬機特點及脆弱性的基礎上，從網絡中通過合適的滲透手段對其他虛擬機進行攻擊。

2.2 風險管理的整體功能需求

風險管理的目標是實現整體風險的可視化，可根據安全控制目標及資產范圍反映當前業(yè)務系統(tǒng)的風險，其依據是各種安全風險的量化指標。量化過程中，根據資產的價值、影響的范圍、威脅發(fā)生的可能性等統(tǒng)一的標準衡量不同系統(tǒng)的風險值，風險計算通過機密性、完整性、可用性與訪問復雜度、訪問因素、認證方式綜合建模確定風險數值。得出業(yè)務系統(tǒng)的風險數值之后，在風險管理上可以根據當前的情況定制未來風險的下降目標，用于衡量風險趨勢并實施改進計劃。

在業(yè)務平臺向云遷移的過程中，經歷“規(guī)劃—開發(fā)—實施—運維—廢棄”等信息系統(tǒng)周期，存在以下一些需要管理者考慮的風險因素。

·原來多種多樣的操作系統(tǒng)，在P2V或者V2V的過程中如何實現安全遷移？哪些應該遷移，哪些不能？原來的安全策略如何在基礎架構上得到滿足（包括安全配置等）？

·云遷移過程的安全性評估，遷移中全生命周期都可能引入新的風險，評估的過程應該怎樣，需要檢查哪些地方？風險如何評定？最終的安全標準又是什么？

·安全技術標準的問題，需要關注哪些云平臺的漏洞？云平臺的配置是否規(guī)范？

·虛擬資產的識別和風險管理，虛擬機、操作系統(tǒng)、中間件、數據庫、虛擬網絡設備等風險管理的原則。

除了對虛擬化層的風險管理需求外，還需要輔以以下其他方面的管理需求。

（1）策略管理

實現制度管理流程化與KPI考核是減少運維過程中安全風險的一個重要的管理環(huán)節(jié)，可對安全制度進行生命周期管理，如創(chuàng)建、草稿、復審、發(fā)布等。制度的發(fā)布需要進行一定的流程，同時涉及不同崗位人員的審批，最終發(fā)布后還包括意見的收集與修訂等。應通過風險管理平臺實現對安全管理制度的流程化管理，滿足制度流程中不同角色的需求。策略管理執(zhí)行的水平可以用量化級別進行衡量。

（2）業(yè)務虛擬資產管理

風險管理的一個重要目標是實現虛擬資產的識別和管理，可通過多種方式將資產信息導入風險管理平臺中，在管理物理資產的同時形成邏輯資產，如一個數據庫運行多個業(yè)務實例，這樣邏輯上將屬于多個業(yè)務資產，其風險與合規(guī)性將同時影響多個業(yè)務系統(tǒng)資產組。所有的資產可根據資產的重要性進行賦值。

（3）控制框架映射

實現安全控制目標與具體措施、管理制度及標準的映射，實現管理要求及標準的落地，通過這種方式了解策略的符合度情況。首先，將制度映射至控制框架，再映射至具體保護措施，從而反映制度與保護措施的間隙，或者制度的實際符合度情況；其次，控制框架映射至標準法規(guī)，如ISO27001、SOX、COBIT等，反映現行保護措施與標準的間隙，即標準、法規(guī)的符合度，符合度水平可以用量化級別進行衡量。

3 業(yè)務平臺云化風險量化方法研究

3.1 業(yè)界的研究現狀

目前業(yè)界提到云計算風險評估相關內容的標準或草案主要有：美國國家標準與技術研究院（NIST）發(fā)布的《云計算安全障礙與緩和措施》和歐洲網絡信息安全局（ENSIA）發(fā)布的 《云計算—信息安全保障框架》、《云計算—信息安全的好處、風險和建議》。

ITU SG17是國際電信聯盟（ITU）在安全領域的主導研究組，主要致力于電信網安全、身份管理和語言與描述技術的項目研究和標準制定。2011年ITU TSAG（電信標準化顧問組）將SG17確定為ITU云安全研究的領導小組。在ITU-T SG17 2009-2012研究期第7次全會上，Q8更名為“Cloud Computing Cecurity（云安全）”，牽頭負責SG17的云安全研究工作。目前Q8正在立項研究云計算的安全威脅和風險量化中的相關問題，還沒有相關的標準發(fā)布。

3.2 業(yè)務平臺云化后風險量化測評方法

當業(yè)務平臺向云平臺遷移過渡時，傳統(tǒng)的網絡安全架構和數據安全方法將遭到云模式架構的挑戰(zhàn)：彈性、多租戶、新的物理和邏輯架構以及抽象的控制需要新的信息安全策略，而在許多的云部署中，甚至會將數據傳輸到外部甚至公眾的環(huán)境中，這種新方式使網絡安全管理員在評估整個業(yè)務平臺的安全風險時，不得不充分考慮到這種開放環(huán)境中帶來的各種新的風險因素，而風險的量化有助于充分控制風險，提高整個平臺的安全水平，風險量化的方法和工具如下所述。

3.2.1 風險量化方法

向云遷移的過程中，云平臺的整體安全風險可以看作Hypervisor層與租戶操作系統(tǒng)嵌套產生的風險，而云平臺自身的安全風險可以作為一個因子，這個因子由于嵌套作用會疊加到每個租戶的風險系數上，因此，每個租戶的風險系數是租戶自身的系統(tǒng)風險值與云平臺自身系統(tǒng)風險值的疊加。

每個租戶的風險系數應該如下計算：

其中，Rsvr表示遷移到云平臺后每個租戶的整體風險值，Rvm表示每個租戶自身的系統(tǒng)風險值，Rcp表示云平臺自身的系統(tǒng)風險值。

那么整個云平臺的風險系數是：

其中，Recp表示整個云平臺在租戶遷移進來之后的整體風險值，等于所有租戶的整體風險值之和再疊加云平臺自身的系統(tǒng)風險值Rcp；那么，如果將云平臺自身的系統(tǒng)風險值單獨分離出來，Recp就等于所有租戶自身的系統(tǒng)風險值之和再疊加n+1倍的云平臺自身的系統(tǒng)風險值。

可見，云平臺的自身風險系數Rcp會疊加每個租戶的安全風險系數，租戶越多，整個云平臺的安全風險系數就會相應地增加，使云平臺面臨更大的風險。因此，量化確認云平臺的安全風險系數，對于提高整個云平臺安全性至關重要。

3.2.2 風險量化測評工具

風險量化測評評估主要存在于業(yè)務平臺生命周期中的“實施”和“運維”階段，該階段的任務主要是采用各種測評手段對業(yè)務平臺存在的弱點進行評估，而業(yè)務平臺的弱點往往具有隱蔽性，有些需要一定的條件和環(huán)境才能顯現，這是在運維階段無法通過數據統(tǒng)計發(fā)現的，必須借助于一些測評工具，在等同的實驗環(huán)境中，構造各種可能的運行環(huán)境和外在威脅，找出各種不正確、起不到應有作用或者沒有實施的安全措施，并根據其潛在的影響一一賦值。在這個過程中，需要借助兩種測評工具，分別是安全配置核查工具和漏洞風險量化測評工具。

（1）安全配置核查工具

安全配置核查工具可針對業(yè)務系統(tǒng)建立安全檢查點、與操作指南相符的基準安全標準，并采用自動化方法逐一對云平臺的配置進行核查，找出其中不符合安全配置要求的不正確或沒有實施的項。安全配置核查工具具有以下特點。

·標準化：虛擬化系統(tǒng)的安全檢查項需要標準化，這些檢查項由安全配置、標準進程等有關檢查內容構成，基于標準化的技術安全操作框架。在安全配置核查的框架和標準上，最值得借鑒的是基于SCAP（security content automation protocol）的FDCC（federal desktop core configuration，聯邦桌面核心配置）計劃項目。

·自動化：在FDCC的基礎上，針對云平臺主機及虛擬化系統(tǒng)的特性，構建安全檢查要求，并通過自動化的工具執(zhí)行，為自動化的技術安全操作提供支持。

規(guī)范與安全配置基準點讓運維人員有了檢查默認風險的標桿，通過配置核查工具，對云平臺中種類繁雜、數量眾多的虛擬機系統(tǒng)、虛擬網絡設備和軟件，進行快速、有效的檢查，并集中收集核查的結果以及制作風險審核報告，最終識別那些與安全規(guī)范不符合的項目，以達到整改合規(guī)的要求。

（2）漏洞風險量化測評工具

漏洞是在硬件、軟件、協議的具體實現或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者在未授權的情況下訪問或破壞系統(tǒng)。安全漏洞有很多種分類方式，按照漏洞宿主的不同，可以分為三大類：

·由于操作系統(tǒng)本身設計缺陷帶來的安全漏洞，這類漏洞將被運行在該系統(tǒng)上的應用程序所繼承，例如，云平臺自身的漏洞會被所有租戶繼承，識別云平臺的漏洞尤為重要；

·應用軟件程序的安全漏洞，云平臺和租戶如果安裝了新的應用程序，也會引入該程序的漏洞；

·應用服務協議的安全漏洞，云平臺和租戶開放了不必要的應用服務協議會產生漏洞。

近年來，針對虛擬化的應用軟件程序和應用服務協議的安全漏洞發(fā)布得越來越多，同時利用病毒、木馬技術以虛擬機作為平臺進行網絡盜竊和詐騙的網絡犯罪活動數量呈上升趨勢，在一些國家和地區(qū)產生了大范圍的危害，由此造成的經濟損失也越發(fā)巨大。因此，在此趨勢下，做好最新漏洞的定期檢查，及時為云平臺及虛擬機安裝漏洞補丁顯得尤為重要。

漏洞評估測評工具將識別虛擬資產、漏洞和威脅緊密結合，通過可量化的模型呈現，幫助運維人員對復雜的云平臺網絡中存在的風險有一個整體、直觀的認識。

4 結束語

安全風險是決策者判斷業(yè)務平臺是否應該遷移到云中的重要指標之一，是科學、客觀地判斷云計算安全狀況的基礎，只有切實做好云平臺全生命周期的信息安全風險管理，才能確保可以為用戶提供可靠、可信、高性價比的云計算服務，企業(yè)才有可能在云計算服務領域取得成功。本文在總結、分析業(yè)務平臺遷移到云中所面臨的技術層面安全威脅和風險管理要求的基礎上，對業(yè)務平臺云化后的風險量化方法進行了系統(tǒng)分析與研究，并分別從風險量化的角度提出了量化過程中使用工具的建議。相信隨著政府監(jiān)管部門相關法律法規(guī)的不斷完善，云計算相關的安全標準的不斷推出，業(yè)務平臺的云化過程將會朝著可靠、安全、可信的方向健康發(fā)展。

1 Cloud Security Alliance.Security guidance for critical areas offocus in cloud computing V2.1.http://www.cloudsecurityalliance.org/csaguide.pdf

2 汪來富,沈軍,金華敏.云計算應用安全研究.電信科學,2010,26(6):67～70

3 汪來富,沈軍,金華敏.電信級云計算平臺安全策略研究.電信科學,2011(10):19～23